关于开发证书配置（Certificates & Identifiers & Provisioning Profiles），相信做iOS开发的同学没少被折腾。对于一个iOS开发小白、半吊子（比如像我自己）抑或老兵，或多或少会有或曾有过以下不详、疑问、疑惑甚至困惑：

1. 什么是App ID？Explicit/Wildcard App ID有何区别？什么是App Group ID？
2. 什么是证书（Certificate）？如何申请？有啥用？
3. 什么是Key Pair（公钥/私钥）？有啥用？与证书有何关联？
4. 什么是签名（Signature）？如何签名（CodeSign）？怎样校验（Verify）？
5. 什么是（Team）Provisioning Profiles？有啥用？
6. Xcode如何配置才能使用iOS真机进行开发调试？
7. 多台机器如何共享开发者账号或证书？
8. 遇到证书配置问题怎么办？
9. Xcode 7免证书调试真机调试

本文将围绕相关概念做个系统的梳理串烧。

从 Xcode 7 开始支持普通 Apple 账号进行写在前面

1.假设你使用过Apple设备（iMac/iPad/iPhone）且注册过Apple ID（Apple Account）。App ID被配置到【XcodeTarget|Info|Bundle Identifier】下；对于Wildcard App ID，只要bundle identifier包含其作为Prefix/Seed即可。本文的Devices是指连接到Xcode被授权用于开发测试的iOS设备（iPhone/iPad）。

在天朝子民的一生中，户籍证明可理解为等效的根证书：有了户籍证明，才能办理身份证；有了上流的身份证，才能办理下游居住证、结婚证、计划生育证、驾驶执照等认证。

5.申请证书（CSR：Certificate Signing Request）

可以在缺少证书时通过Xcode Fix Issue自动请求证书，这里通过Keychain证书助理从证书颁发机构请求证书：填写开发账号邮件和常用名称，勾选【存储到磁盘】。

private key始终保存在Mac OS的Keychain Access中，用于签名（CodeSign）对外发布的App；public key一般随证书（随Provisioning Profile，随App）散布出去，对App签名进行校验认证。用户必须保护好本地Keychain中的private key，以防伪冒。

• Keep a secure backup of your public-private key pair. If the private key is lost, you’ll have to create an entirely new identity to sign code. 
• Worse, if someone else has your private key, that person may be able to impersonate you.

在Apple开发网站上传该CSR文件来添加证书（Upload CSR file to generate your certificate）：

 

Apple证书颁发机构WWDRCA(Apple Worldwide Developer Relations Certification Authority)将使用private key对CSR中的public key和一些身份信息进行加密签名生成数字证书（ios_development.cer）并记录在案（Apple Member Center）。

四.供应配置文件（Provisioning Profiles）

1.Provisioning Profile的概念

Provisioning Profile文件包含了上述的所有内容：证书、App ID和设备。

 

Xcode中配置的Code Signing Identity（entitlements、certificate）必须与Provisioning Profile匹配，并且配置的Certificate必须在本机Keychain Access中存在对应Public／Private Key Pair，否则编译会报错。

Xcode所在的Mac设备（系统）使用CA证书（WWDRCA.cer）来判断Code Signing Identity中Certificate的合法性：

• 若用WWDRCA公钥能成功解密出证书并得到公钥（Public Key）和内容摘要（Signature），证明此证书确乃AppleWWDRCA发布，即证书来源可信；
• 再对证书本身使用哈希算法计算摘要，若与上一步得到的摘要一致，则证明此证书未被篡改过，即证书完整。

2.Code Signing

每个证书（其实是公钥）对应Key Pair中的私钥会被用来对内容（executable code，resources such as images and nib files aren’t signed）进行数字签名（CodeSign）——使用哈希算法生成内容摘要（digest）。

Xcode使用指定证书配套的私钥进行签名时需要授权，选择【始终允许】后，以后使用该私钥进行签名便不会再弹出授权确认窗口。

第二步，iOS/Mac真机上的ios_development.cer被AppleWWDRCA.cer中的 public key解密校验合法后，获取每个开发证书中可信任的公钥对App的可靠性和完整性进行校验。

iOS/Mac设备（系统）使用App Provisioning Profile（Code Signing Identity）中的开发证书来判断App的合法性：

• 若用证书公钥能成功解密出App（executable code）的内容摘要（Signature），证明此App确乃认证开发者发布，即来源可信；
• 再对App（executable code）本身使用哈希算法计算摘要，若与上一步得到的摘要一致，则证明此App（executable code）未被篡改过，即内容完整。

小结：

八.在多台机器上共享开发账户/证书

1.Xcode导出开发者账号(*.developerprofile)或PKCS12文件(*.p12)

进入Xcode Preferences|Accounts：

• 选中Apple IDs列表中对应Account的的Email，点击+-之后的☸|Export Accounts，可导出包含account/code signing identity/provisioning profiles信息的*.developerprofile（Exporting a Developer Profile）文件供其他机器上的Xcode开发使用（Import该Account）。

选中右下列表中某行Account Name条目|ViewDetails，可以查看Signing Identities和Provisioning Profiles。

• 选中欲导出的Signing Identity条目，点击栏底+之后的☸|Export，必须输入密码，并需授权export key "privateKey" from keychain，将导出Certificates.p12。

点击左下角的刷新按钮可从Member Center同步该账号下所有的Provisioning Profile到本地。

2.Keychain Access导出PKCS12文件(*.p12)

在Keychain Access|Certificates中选中欲导出的certificate或其下private key，右键Export或者通过菜单File|Export Items导出Certificates.p12——PKCS12 file holds the private key and certificate。

 

海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理：https://www.xlkjsw.com

原标题：iOS 证书那些事

关键词：IOS